ソース： blog.doyensec.com 脆弱性：SSRF 訳： 導入 サーバー側リクエスト フォージェリは、悪意のある攻撃者が被害者のサーバーを悪用して、攻撃者に代わって HTTP(S) リクエストを実行する脆弱性で。 通常、サーバーは内部ネットワークにアクセスできるた…

ソース： medium.com 脆弱性：アカウントの乗っ取り 訳： 最近、有名な食品ブランドの Web サイト let it hamm.com のパスワード リセット機能に、ゼロクリックでアカウントが乗っ取られる脆弱性を発見し。 この記事では、この欠陥により、攻撃者が何の操作…

ソース： medium.com 脆弱性：情報漏洩 訳： 発見 このプログラムの定期的なセキュリティ監査中に、バックエンド コードや漏洩したサーバー ライセンスなどの機密情報を特定し。それを見つける方法を知りましょう。 再現する手順： まず、ターゲットでサブド…

ソース： medium.com 脆弱性：OAuth 訳： Web サイトにアクセスしたことがある場合は、たとえ聞いたことがなくても、OAuth に一度は遭遇したことがあるでしょう。 「Google でサインイン」ボタンを見たことがありますか? もしそうなら、OAuth に出会ったこと…

ソース： medium.com 脆弱性：GraphQL 訳： これがすべての経緯です。 私に最初の賞金をもたらしたバグは、実際には 2 つのバグの組み合わせで。 私はメイン ドメインを探すことから始めまて。以前のブログでご存知の方もいるかもしれませんが、私は JavaScr…

ソース： levelup.gitconnected.com 脆弱性：XSS 訳： 私はソース コードのレビューから始めて、一連の JavaScript ファイルを確認し、最終的に次のように、 開発者がサーバーではなくアプリケーションが特定のアクションを実行した後にユーザーをリダイレク…

ソース： medium.com 脆弱性：API, IDOR 訳： API の IDOR 安全でない直接オブジェクト参照 (IDOR) は、攻撃者が Web アプリケーションの URL またはパラメーターで使用される識別子を操作することによってオブジェクトにアクセスまたは変更できる場合に発生…

ソース： ott3rly.com 訳： Shodan Dorking の奥深くを探索して、セキュリティ テストをレベルアップし。 Google では多くの Web サイトを検索できますが、Shodan ではサーバー、Web カメラ、洗濯機など、他のすべての Web サイトを検索できて。自分が悪者で…

ソース： ott3rly.medium.com 脆弱性：オリジンIP, WAF 訳： Web アプリケーション ファイアウォールは、脆弱性があることがわかっている場合に最も厄介で。 通常、Web サイトは古く、あまりよく管理されていないため、ほとんどの場合、Web サイトの上に WAF…

ソース： medium.com 脆弱性：Wordpress 訳： このブログでは、私が知っている一般的な WordPress の設定ミスと脆弱性についていくつか触れてみたいと思って。 →WordPressとは何ですか？ WordPress は、誰でも簡単に Web サイトを作成および管理できる、無料…

ソース： medium.com 脆弱性：XSS 訳： 私の主な目標は XSS を見つけることでしたので、ユーザーの入力を検索していて。 Web アプリの動作を観察するために、ランダムな文字列を入力して検索バーのテストを開始し。 ブラウザー DevTools で応答を見ると、二…

ソース： medium.com 脆弱性：XSS 訳： 例 1: セッションハイジャックの脆弱性 図 2: 脆弱なコード 図 3: クッキー ここでは、アプリケーションにCookieを設定し。 URL param(name) を操作して、スクリプトを実行し、攻撃者のエンドポイントに Cookie を送信…

ソース： medium.com 脆弱性：GraphQL, CSRF 訳： GraphQL は最新の Web アプリケーションでのデータ通信に好まれるツールであることが多いですが、セキュリティ上の問題が伴い。 その 1 つは、クロスサイト リクエスト フォージェリ (CSRF) 攻撃で。 CSRF …

ソース： medium.com 脆弱性：ビジネスロジック、RaceCondition、IDOR、SSRF、WAF 訳： まとめ： この対象プログラムは、Web スクレイピング機能と複数のログインアカウントを一度に簡単に利用できるブラウザ サービスを提供する会社で。 これはブラウザで使…

ソース： medium.com 脆弱性：XSS, WAF 訳： 今回の私の目的は、さまざまなエンドポイントで XSS を見つけることで。以前に 4 ～ 5 RXSS/Stored XSS を報告しましたが、このアプリケーションは他のエンドポイントでも XSS に対して依然として脆弱であると確…

ソース： medium.com 脆弱性：WAF（CloudFront） 訳： 最初に、Subfinder と HTTPX を介して、weather.gov のすべてのライブ サブドメインを収集して。 subfinder -d weather.gov all | httpx -mc 200 | tee weather_live.txt それがドメイン [ training.wea…

ソース： medium.com 脆弱性：Race Condition 訳： これは私の最初の記事であり、競合状態の脆弱性があるアカウントにさらに資金を追加する方法について説明します。 競合状態とは何ですか 競合状態は 、Web サイトが十分な保護なしで同時リクエストを処理す…

ソース： josipfranjkovic.blogspot.com 脆弱性：SQLi 訳：プログラムのことを知ったのは Nokia セキュリティ特典 4 月中旬のことで。 人々が 1 台以上の携帯電話を手に入れたという報告に興味を持ち、バグを探し始め。 いつものように、XSS/CSRF は人々に本…

ソース： infosecwriteups.com 脆弱性：IDOR 訳： この記事では、私が趣味で GCP (Google サイバーセキュリティ証明書) を勉強して取得しようとしていたときに、Coursera のプログラムで IDOR の脆弱性を偶然発見した経緯をお話したいと思い。 短い背景 それ…

ソース： medium.com 脆弱性：OTP 訳： 私が簡単に見つけた方法の話: 実際に現場を訪れてみると。 そこで、ログインについて尋ねられ。 そこからサイトのテストを開始しました。 まず、携帯電話番号や血液型などを記入する登録フォームがありました。 その後…

ソース： infosecwriteups.com 脆弱性：AWS S3 訳： この記事では、私がどのようにして重大な脆弱性を発見し、サイバー攻撃者によって悪用され、データ侵害につながる可能性のある構成ミスから求職者のデータを保護したのかについて説明を。 最初の発見: Web…

ソース： medium.com 脆弱性：SQLインジェクション 訳： 数日前、私はバグ報奨金プログラムに参加しようとして、まだ実行され管理されているプログラムを検索しようとし。 ****プログラムを見つけ。 参考までに、ターゲットはヨーロッパの検索エンジンで。 …

ソース： medium.com 脆弱性：OSINT 訳： 私の購読者の 1 人がこのツールを私に教えてくれました。この GUI ツールを使用すると、雇用主のユーザー名とパスワードを漏らすだけで簡単に報奨金が得られると言い、それを共有するよう求めてきました。これは世界…